Bij Citrix en vele andere fabrikanten horen we steeds meer de term End-Point Security noemen. Waarom krijgt dit onderwerp toch zo veel aandacht? Dit heeft natuurlijk alles te maken met de nog steeds groeiende vraag naar toegangsmogelijkheden tot bedrijfsmiddelen vanaf locaties buiten het LAN, denk aan thuiswerken, werken vanaf werkplekken bij andere bedrijven of klanten, mobiel werken, vanaf kiosks op conferenties of vanaf hotels werken. De locaties vormen daarbij niet eens de grootste uitdaging, de uitdaging zit hem vooral in het feit dat werken op afstand steeds meer online gebeurt. Waar tot voor enkele jaren relatief veilige directe inbelservers werden gebruikt met analoge modems of ISDN-kaarten en de sessies relatief kort werden gehouden (door de kosten per minuut), worden nu langdurige openstaande verbindingen gemaakt over het publieke Internet. We kennen in principe drie soorten end-points:
Bedrijfs-PC's
bedrijfs-PC's of ander systemen ingericht, beveiligd en afgeschermd door de IT-afdeling zoals werkplekken op het LAN, uitgeleende thuiswerkplekken of notebooks die buiten het bedrijfsnetwerk worden gebruikt.
Vreemde PC's
vreemde PC's, die door derden zijn ingericht en worden onderhouden, denk aan PC's thuis of PC's bij andere bedrijven.
Beperkte PC's
beperkte PC's en kiosks waar veel wisselende eindgebruikers op werken en waarop weinig mogelijkheden voor locale toepassingen bestaan.
Behalve dat u de eindgebruiker die op deze systemen werkt zult moeten authenticeren met loginnaam en wachtwoord aangevuld met een tweefactor of zelfs driefactor authenticatietechnologie als een smartcard, token of fingerprintreader is het van belang dat u in staat bent de werkplek te identificeren. Is het een publieke kioskcomputer, een publieke werkplek in de lounge bij de receptiebalie van uw bedrijf, een werkplek op een nevenkantoor, een notebook van uw bedrijf?
Hiervoor kan bijvoorbeeld een combinatie van het IP-adres, de hostnaam, de NetBIOS-naam en het MAC-adres worden gebruikt. Sommige oplossingen gebruiken zelfs de unieke GUID, een wereldwijde unieke sleutel die in iedere Windows-versie aanwezig is. Afhankelijk van deze identificatie geeft u de werkplek (en eindgebruiker) meer of minder rechten en toont u meer of minder informatie. Een andere identificatie die een belangrijke rol speelt, is of u de op afstand gebruikte werkplek en de integriteit ervan vertrouwt. Is deze voorzien van een actuele virusscanner, een goed geconfigureerde bijgewerkte personal firewall, zijn alle Windows-patches en service packs geïnstalleerd, is de browser goed geconfigureerd? Lopen er geen programma's in de achtergrond te luisteren en loggen wat er op die werkplek gebeurt?
Oplossingen voor End-Point security controleren op de aanwezigheid of instellingen van één of meer van deze toepassingen. IPSec of SSL VPN's en andere toegangsoplossingen zoals VPN-appliances bieden vaak zelf ook al een redelijk scala aan End-Point controles. Ook bieden ze meestal methodes waardoor er op de remote werkplek geen al dan niet vertrouwelijke gegevens achterblijven door het tonen van de bedrijfsinformatie en -toepassingen in een geïsoleerde omgeving en/of het uitvoeren van een verplichte opschoonactie tijdens het beëindigen van de sessie, bijvoorbeeld door een cache-cleaner. Het invoeren van End-Point security is véél meer dan het installeren van een antivirusprogramma en zou op het programma moeten staan van alle organisaties die hun eindgebruikers of anderen op afstand toelaten op het bedrijfsnetwerk.